使用 Horizon Cloud Service - next-gen 在 Microsoft Azure 订阅中创建 Horizon Edge 和 Unified Access Gateway 会创建多个默认网络安全组。这些安全组在您登录到 Microsoft Azure 门户时可见,并且必须保持为提供时的状态。
在 Microsoft Azure 中部署 Horizon Edge 和 Unified Access Gateway 期间,自动部署过程会创建一组网络安全组 (NSG),并将各个 NSG 与 VMware 控制的各个 Horizon Edge 和 Unified Access Gateway 虚拟机 (VM) 上的单个特定网络接口(网卡)相关联。此类 Edge 和 UAG 相关的虚拟机是 Edge 网关的虚拟机,也是为 Edge 配置 Unified Access Gateway 时部署的虚拟机。
整体介绍
在 Horizon Cloud Service - next-gen 中,Edge 部署程序根据 Edge 设计和架构,将部署程序创建的相应 NSG 与相应的网卡相关联。这些 NSG 在网卡级别使用,用来确保特定受管设备上的每个网卡都能够接收该设备应接收的在该网卡的连接子网上提供标准服务和 Edge 操作的流量,并阻止所有该设备不应接收的流量。每个 NSG 都包含一组安全规则,用于定义允许进出每个网卡的流量。
此处所述的由部署程序创建的 NSG 不同于在使用 Horizon Universal Console 创建时由 Edge 置备的基础虚拟机、场和 VDI 桌面使用的 NSG。
Horizon Cloud Service - next-gen 创建的 NSG 以及其中的规则特定于特定网卡及其连接到的虚拟机,并且专用于这些网卡和虚拟机。如果对这些 NSG 或规则进行任何更改或尝试将其用于任何其他用途(即使在这些网卡连接到的同一子网上),可能会导致它们与连接到的网卡之间的所需网络流量中断。该中断又可能会导致所有 Edge 操作中断。这些 NSG 的生命周期是由 Horizon Cloud Service - next-gen 管理的,每个 NSG 具有特定的原因。
由于这些由部署程序创建的 NSG 是服务的配置要求,因此尝试更改或移动它们会被视为不支持使用 Horizon Cloud Service - next-gen 和误用该产品。
不过,您可以在 Edge 的资源组外部的资源组中创建自己的 NSG 以包含您自己的组织的规则,Edge 的资源组是 Horizon Cloud Service - next-gen 为 Edge 的虚拟机自动创建和管理的。您自己的 NSG 中的规则不能与 Horizon Cloud Service - next-gen 的 Edge 虚拟机管理和运行要求发生冲突。此类 NSG 应附加到 Edge 使用的管理、租户和 DMZ 子网。在 Horizon Cloud Service - next-gen 管理的资源组中创建您自己的 NSG 时,如果这些资源组中的 NSG 与位于不同资源组中的资源相关联,将导致对 Horizon Cloud Service - next-gen 管理的资源组执行的删除操作失败。
如 Microsoft Azure 文档中所述,网络安全组 (NSG) 的用途是使用安全规则对进出 Microsoft Azure 环境中的资源的网络流量进行筛选。每个规则都有一组属性(如源、目标、端口、协议等),用于确定允许进出与 NSG 相关联的资源的流量。Horizon Cloud Service - next-gen 自动创建并与受控 Edge 虚拟机的网卡关联的 NSG 包含特定的规则,Horizon Cloud Service - next-gen 已确定服务需要使用这些规则来管理 Edge,正确运行日常 Edge 操作以及管理 Edge 的生命周期。一般来说,在这些 NSG 中定义的每个规则都旨在为执行 Edge 操作提供端口流量,该流量是服务实现 Horizon Cloud Service - next-gen 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。有关相关信息,请参见 部署 Horizon 8 Edge 的端口和协议要求。
下面的部分列出了 Horizon Cloud Service - next-gen 在由部署程序创建的这些 NSG 中定义的 NSG 规则。
有关由部署程序创建的 NSG 的一般事实
此列表适用于由部署程序创建并与 Edge 虚拟机上特定网卡相关联的所有 NSG。
- 这些自动创建的 NSG 是为了保护控制的软件设备的安全。当将新软件添加到您的订阅中并需要其他规则时,这些新规则将添加到这些 NSG 中。
- 对于 Microsoft Azure 门户中的 Unified Access Gateway,NSG 的名称采用
vmw-hcs-UUID模式,其中 UUID 是 Edge 的标识符,但用于已部署到其自已 VNet 中的外部网关配置的 NSG 除外。在这种例外情况下,与网关相关的 NSG 的名称采用vmw-hcs-ID模式,其中 ID 是该外部网关的部署 ID。注: 在某种情况下,您使用部署到在单独订阅中预先创建的现有资源组的选项将外部网关配置部署到该订阅中,此时,网关连接器虚拟机的管理网卡上的 NSG 的命名模式基于资源组的名称,而不是vmw-hcs-UUID模式。例如,如果您将该资源组命名为hcsgateways,则 Horizon Cloud Service - next-gen 在该资源组中创建一个名为hcsgateways-mgmt-nsg的 NSG,并将该 NSG 与网关连接器虚拟机的管理网卡相关联。对于 Horizon Edge 网关,NSG 具有命名模式
aks-agentpool-ID-nsg,其中ID是 Microsoft Azure 添加的随机数,NSG 是具有命名模式vmw-hcs-UUID-edge-aks-node的资源组的一部分,其中UUID是 Edge 标识符。通过从管理控制台的“容量”页面导航到 Edge 的详细信息,可以找到这些标识符。
注: 当您选择让 Edge 的外部 Unified Access Gateway 使用自定义资源组时,网关连接器虚拟机的由部署程序创建的 NSG 的名称包含该自定义资源组的名称,而不包含vmw-hcs-ID模式。例如,如果您指定将名为ourhcspodgateway的自定义资源组用于 Edge 的外部网关,则由部署程序创建并与网关虚拟机的网卡相关联的 NSG 将被命名为ourhcspodgateway-mgmt-nsg。 - NSG 和与其关联的虚拟机及 NIC 位于同一资源组中。例如,使用由部署程序创建的资源组将外部网关部署到 Edge 的 VNet 中时,与外部 Unified Access Gateway 虚拟机上的网卡关联的 NSG 将位于名为
vmw-hcs-UUID-uag的资源组中。 - Horizon Cloud 可以根据需要添加新规则或修改这些规则,以确保服务的可维护性。
- 在 Edge 更新过程中,将保留 NSG 和规则。它们不会被删除。
- Horizon Cloud Service - next-gen 规则从优先级 1000 开始,并且优先级通常以 100 为增量递增。当优先级达到 3000 时,Horizon Cloud Service - next-gen 规则结束。
- 源 IP 地址 168.63.129.16 的
AllowAzureInBound规则允许 NSG 接受来自 Microsoft Azure 平台的入站通信,如 Microsoft Azure 文档主题什么是 IP 地址 168.63.129.16 中所述。所有与 Edge 相关的虚拟机都是 Microsoft Azure 中的虚拟机。正如 Microsoft Azure 文档主题中所述,其 IP 地址 168.63.129.16 可帮助完成 Microsoft Azure 云平台为其云中的所有虚拟机执行的各种虚拟机管理任务。例如,此 IP 地址可帮助虚拟机中的虚拟机代理与 Microsoft Azure 平台通信,以发出虚拟机处于就绪状态的信号。 - 创建 NSG 后,Microsoft Azure 会在每个 NSG 中自动创建一些默认规则。在创建的每个 NSG 中,Microsoft Azure 会以优先级 65000 和更高级别创建一些入站和出站规则。由于此类 Microsoft Azure 默认规则是由 Microsoft Azure 自动创建的,因此本文档主题中未对它们进行介绍。有关这些默认规则的详细信息,请参阅 Microsoft Azure 文档主题默认安全规则。
- 在这些 NSG 中定义的每个规则都旨在为执行 Edge 操作提供端口流量,该流量是服务实现 Horizon Cloud Service - next-gen 订阅标准业务目的的重要组成部分,例如,向最终用户提供虚拟桌面的 VDI 用例。有关相关信息,请参见 部署 Horizon 8 Edge 的端口和协议要求。
- 在您编辑自己的 Edge 以指定用于场和 VDI 桌面分配的其他租户子网时,将更新 Edge 网关虚拟机和 Unified Access Gateway 虚拟机网卡上与租户子网相关的 NSG 中的规则,以包含这些额外的租户子网。
Edge 网关 AKS 的由部署程序创建的 NSG
Edge 网关 AKS 具有虚拟机 (VM) 规模集,其中,每个虚拟机实例都有一个网卡连接到管理子网。Microsoft Azure 会自动创建特定的 NSG,并将其与关联到虚拟机规模集实例的所有网卡相关联。
对于 Edge 网关虚拟机类型,我们当前未创建任何 NSG。
在您的 Microsoft Azure 环境中,Edge AKS NSG 位于 Edge 的 AKS 节点资源组中,该资源组采用 vmw-hcs-UUID-edge-aks-node 模式命名。
aks-agentpool-ID-nsg 模式命名,其中
ID 是由 Microsoft Azure 分配的随机数。
如前所述,Microsoft Azure 默认情况下会创建以下各表中显示的规则,如 Microsoft Azure 文档主题默认安全规则中所述。
| 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetInBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | 允许 |
| 65001 | AllowAzureLoadBalancerInBound | 任意 | 任意 | AzureLoadBalancer | 任意 | 允许 |
| 65500 | DenyAllInbound | 任意 | 任意 | 任意 | 任意 | 拒绝 |
| 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 |
|---|---|---|---|---|---|---|
| 65000 | AllowVnetOutBound | 任意 | 任意 | VirtualNetwork | VirtualNetwork | 允许 |
| 65001 | AllowInternetOutBound | 任意 | 任意 | 任意 | Internet | 允许 |
| 65500 | DenyAllOutbound | 任意 | 任意 | 任意 | 任意 | 拒绝 |
外部 Unified Access Gateway 虚拟机的由部署程序创建的 NSG
外部 Unified Access Gateway 配置的每个虚拟机具有三 (3) 个网卡,一个网卡连接到管理子网,另一个网卡连接到租户子网,还有一个网卡连接到 DMZ 子网。部署程序会为这三个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。
- 管理网卡的 NSG 采用
vmw-hcs-ID-uag-management-nsg模式进行命名。 - 租户网卡的 NSG 采用
vmw-hcs-ID-uag-tenant-nsg模式进行命名。 - DMZ 网卡的 NSG 采用
vmw-hcs-ID-uag-dmz-nsg模式进行命名。
在您的 Microsoft Azure 环境中,这些 NSG 采用 vmw-hcs-ID-uag 模式进行命名,其中 ID 是显示在控制台中 Edge 详细信息页面上的 Edge ID,除非将外部网关部署到自身的 VNet(不同于 Edge 的 VNet)中。如果将外部网关部署到其自已的 VNet 中,则 ID 是 Edge 详细信息页面上显示的部署 ID 值。
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子网 | 任意 | 允许 | 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。 |
| 入站 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1200 | AllowSshInBound | 22 | 任意 | 管理子网 | 任意 | 允许 | 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于拒绝来自此网卡的出站流量。 |
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | 租户子网 | 任意 | 允许 | 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | 租户子网 | 允许 | 此规则支持 Unified Access Gateway 实例与 Edge 网关虚拟机进行通信,以便向 Edge 网关发送新的客户端连接请求。 |
| 出站 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。 |
| 出站 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。 |
| 出站 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | 租户子网 | 允许 | 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。 |
| 出站 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | 租户子网 | 允许 | 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。 |
| 出站 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | 租户子网 | 允许 | 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,与优先级为 1200 的规则类似,该规则支持与此类虚拟机建立多个 Horizon Client PCoIP 会话的用例。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。 |
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowHttpsInBound | 80 443 |
TCP | Internet | 任意 | 允许 | 此规则为外部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向 Edge 网关发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。 |
| 入站 | 1100 | AllowBlastInBound | 443 8443 |
任意 | Internet | 任意 | 允许 | 此规则支持接收来自外部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。 |
| 入站 | 1200 | AllowPcoipInBound | 4172 | 任意 | Internet | 任意 | 允许 | 此规则支持接收来自外部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。 |
| 入站 | 1300 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
内部 Unified Access Gateway 虚拟机的由部署程序创建的 NSG
内部 Unified Access Gateway 配置的每个虚拟机具有两 (2) 个网卡,一个网卡连接到管理子网,另一个网卡连接到租户子网。部署程序会为这两个网卡各创建一个特定的 NSG,并将每个 NSG 与相应的网卡相关联。
- 管理 NIC 的 NSG 采用
vmw-hcs-podUUID-uag-management-nsg模式进行命名。 - 租户 NIC 的 NSG 采用
vmw-hcs-podUUID-uag-tenant-nsg模式进行命名。
在您的 Microsoft Azure 环境中,这些 NSG 驻留在采用 vmw-hcs-podUUID-uag-internal 模式命名的 Edge 资源组中。
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowHttpsInBound | 9443 | TCP | 管理子网 | 任意 | 允许 | 便于服务使用其管理界面配置网关的管理设置。如 Unified Access Gateway 产品文档中所述,其管理界面位于端口 9443/TCP。 |
| 入站 | 1100 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1200 | AllowSshInBound | 22 | 任意 | 管理子网 | 任意 | 任意 | 便于 VMware 在需要进行故障排除时对虚拟机执行紧急访问。在进行任何紧急访问之前,都将需要向您申请相关权限。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于拒绝来自此网卡的出站流量。 |
| 方向 | 优先级 | 名称 | 端口 | 协议 | 源 | 目标 | 操作 | 用途 |
|---|---|---|---|---|---|---|---|---|
| 入站 | 1000 | AllowAzureInBound | 任意 | 任意 | 168.63.129.16 | 任意 | 允许 | 用于使虚拟机接受来自 Microsoft Azure 平台的入站通信,如前面的“常规事实”部分和 Microsoft Azure 文档主题 IP 地址 168.63.129.16 是什么中所述。 |
| 入站 | 1100 | AllowHttpsInBound | 80 443 |
TCP | VirtualNetwork | 任意 | 允许 | 此规则为内部最终用户提供来自 Horizon Client 和 Horizon Web 客户端的入站流量,以向 Edge 网关发送登录身份验证请求。默认情况下,Horizon Client 和 Horizon Web 客户端使用端口 443 发送此请求。为了便于可能在客户端中键入 HTTP 而不是 HTTPS 的用户使用简单重定向,流量会到达端口 80 并自动重定向到端口 443。 |
| 入站 | 1200 | AllowBlastInBound | 443 8443 |
任意 | VirtualNetwork | 任意 | 允许 | 此规则支持接收来自内部最终用户 Horizon Client 的 Blast 流量的 Unified Access Gateway 实例。 |
| 入站 | 1300 | AllowPcoipInBound | 4172 | 任意 | VirtualNetwork | 任意 | 允许 | 此规则支持接收来自内部最终用户 Horizon Client 的 PCoIP 流量的 Unified Access Gateway 实例。 |
| 入站 | 1400 | AllowPcoipUdpInBound | 任意 | UDP | 租户子网 | 任意 | 允许 | 此规则支持用于使用 Horizon Agent 的 Unified Access Gateway 的标准配置。桌面中的 Horizon Agent 和场虚拟机使用 UDP 将 PCoIP 数据发送回 Unified Access Gateway 实例。 |
| 入站 | 3000 | DenyAllInBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的入站流量。 |
| 出站 | 1000 | AllowHttpsOutBound | 443 8443 |
TCP | 任意 | 租户子网 | 允许 | 此规则支持 Unified Access Gateway 实例与 Edge 网关虚拟机进行通信,以便向 Edge 发送新的客户端连接请求。 |
| 出站 | 1100 | AllowBlastOutBound | 22443 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面或场虚拟机中向 Horizon Agent 发起 Horizon Client Blast Extreme 会话的用例。 |
| 出站 | 1200 | AllowPcoipOutBound | 4172 | 任意 | 任意 | 租户子网 | 允许 | 此规则支持在桌面虚拟机中向 Horizon Agent 发起 Horizon Client PCoIP 会话的用例。 |
| 出站 | 1300 | AllowUsbOutBound | 32111 | TCP | 任意 | 租户子网 | 允许 | 此规则支持 USB 重定向流量的用例。USB 重定向是桌面或场虚拟机中的一个代理选项。该流量可使用端口 32111 在桌面或场虚拟机中向 Horizon Agent 发起最终用户会话。 |
| 出站 | 1400 | AllowMmrOutBound | 9427 | TCP | 任意 | 租户子网 | 允许 | 此规则支持多媒体重定向 (MMR) 和客户端驱动程序重定向 (CDR) 流量的用例。这些重定向是桌面或场虚拟机中的代理选项。该流量可使用端口 9427 在桌面或场虚拟机中向 Horizon Agent 发起最终用户客户端会话。 |
| 出站 | 1500 | AllowAllOutBound | 任意 | 任意 | 任意 | 租户子网 | 允许 | 在支持多个用户会话的虚拟机中运行时,Horizon Agent 将为会话的 PCoIP 流量选择不同的端口。由于不能提前确定这些端口,因此,NSG 规则会命名特定端口以允许使用不能提前定义的流量。因此,与优先级为 1200 的规则类似,该规则支持与此类虚拟机建立多个 Horizon Client PCoIP 会话的用例。 |
| 出站 | 3000 | DenyAllOutBound | 任意 | 任意 | 任意 | 任意 | 拒绝 | 由部署程序添加,用于限制此网卡中流向前述行项的出站流量。 |
